De soap met als hoofdrolspelers Firefox en Internet Explorer is nog niet voorbij. Jesper Johansson, voormalig beveiliger bij Microsoft, toont op zijn blog aan dat Firefox kwetsbaar is voor hetzelfde 'lek' waar Mozilla vorige week nog voor waarschuwde.

Mozilla bracht toen een update uit, met daarin onder andere een patch voor het 'firefoxurl://-lek', dat gebruikers trof die zowel Internet Explorer als Firefox gebruikten. Het probleem zat hem in de manier waarop Firefox omging met protocollen.

Zowel Mozilla als beveiligingsonderzoeker Thor Larholm, die het firefoxurl://-lek had ontdekt, benadrukten toen dat de patch de kwetsbaarheid in Internet Explorer niet oploste. "Ik kan nu nog steeds automatisch een hele serie aan externe applicaties opstarten via Internet Explorer en dan willekeurige commando's uitvoeren", zo stelde Larholm.

Johansson toont echter aan dat dezelfde kwetsbaarheid ook in Firefox zit. Net als in IE wordt in Firefox de opdrachtregel niet goed gecontroleerd voordat deze wordt doorgestuurd naar een protocol handler. Johansson haalt in zijn blogposting flink uit naar Mozilla en Thor Larholm. "Als we de logica volgen die zij hanteren, heeft Firefox precies dezelfde kwetsbaarheid als Internet Explorer", aldus Johansson.

Mozilla en Micorosoft hebben de afgelopen paar weken met elkaar overhoop gelegen over wie schuld had aan het Firefox/Internet Explorer-probleem. Ook onder beveiligingsonderzoekers waren de meningen verdeeld over wie schuld had. Johansson is in zijn blogposting duidelijk over de kwetsbaarheid. Volgens hem is deze kwetsbaarheid niet het probleem van Firefox of van IE.